Un marco legal cojo
España se enfrenta a una sanción de la UE por llevar dos años de retraso en adaptar la norma europea policial de protección de datos
El proyecto tiene una controvertida vertiente legal, sobre todo porque España no ha traspuesto todavía la Directiva Europea 680/2016, sobre protección de datos en el ámbito policial y judicial penal. Tenía hasta el 6 de mayo de 2018, y sigue sin aprobarla, aunque un primer anteproyecto ya pasó por el consejo de ministros. Grecia también va con retraso. Los gobiernos de ambos países podrían ser multados por Bruselas; en algunos blogs jurídicos se calcula en alrededor de cinco millones de euros la que le caerá a España.
De esta manera, una de las leyes que hoy regulan el uso policial de cámaras en las calles es la Ley Orgánica 4/1997, que tiene más de veinte años.
La legislación de protección de datos establece que se puede identificar unívocamente (relacionando cara y nombre) a una persona mediante imágenes en dos supuestos: si la persona lo ha autorizado explícitamente (por ejemplo, un empleado para acceder a su puesto de trabajo) o bien por necesidades de seguridad.
A falta de que la ley española adapte las recomendaciones europeas, el Comité Europeo de Protección de Datos alertó en un informe de las “enormes” repercusiones para la protección del ciudadano, exigió que se adopten las medidas para evitar “cualquier uso indebido” y advirtió que “el software utilizado para la identificación, el reconocimiento o el análisis facial funciona de manera diferente en función de la edad, del sexo y del origen étnico de la persona a la que identifica”, por lo que “el sesgo del reconocimiento facial amenaza con aumentar los prejuicios de la sociedad”. “La videovigilancia –añadía aún– no constituye por defecto una necesidad cuando existen otros medios de conseguir la finalidad subyacente. De lo contrario se corre el riesgo de cambiar las normas culturales, lo que llevaría a aceptar la falta de privacidad como algo común”.
El reconocimiento facial, así, puede identificar a la persona o no hacerlo, simplemente determinar si es mujer, hombre, una edad aproximada... Si no lo hace, no está empleando los datos biométricos, que gozan de una protección especial en la legislación europea.
En enero, The New York Times destapó la historia de la empresa neoyorquina Clearview, que había creado un banco de caras con millones de personas perfectamente identificadas; lo había hecho a través de todos esos que se etiquetan en otras aplicaciones.
La investigación revelaba que circulaba una app exclusiva entre algunos clientes privados, de manera que sus usuarios podían identificar a personas por la calle apenas enfocando la cámara de su móvil. Clearview se defendió alegando que sólo lo vende a fuerzas policiales. El asunto llegó al Parlamento Europeo, porque entre ellas había algún cuerpo policial europeo.
“Desde el punto de vista del derecho a la protección de datos”, el reconocimiento facial supone “un riesgo elevado para los derechos y libertades”, alerta una fuente de la Agencia Española de Protección de Datos (AEPD), dado que permite “la vigilancia automatizada”.
“Cualquier sistema de identificación biométrica se encuentra sujeto a vulnerabilidades que pueden ocasionar falsos positivos y falsos negativos”, añade.
La AEPD recuerda, en todo caso, que la normativa de seguridad permite las excepciones. Ahí entran, recuerda, los baremos de necesidad y proporcionalidad.
La AEPD remarca el riesgo que implicaría el uso de esta tecnología en, por ejemplo, una manifestación, por mucho que una hipotética deriva en disturbios pudiera justificar previamente el uso del reconocimiento facial: “Que se empleara indiscriminadamente el sistema de reconocimiento facial a todos los participantes en una manifestación podría resultar contrario al principio de proporcionalidad, y también tendría un ‘efecto escalofrío’ disuasorio o de desaliento sobre el libre ejercicio de un derecho fundamental, como es el de manifestación”.
“Como gran ejemplo del uso de sistemas de reconocimiento facial (en este caso en tiempo real) tenemos el de la policía metropolitana de Londres realizado en la estación de tren de King’s Cross, y que llevó a la autoridad británica de protección de datos a investigarlo y plantear una serie de elementos a implantar para ser adecuado”, explica el abogado Darío López Rincón, consultor en protección de datos y miembro de Secuoya Group.
El uso masivo (¿en una manifestación?) podría generar un ‘efecto escalofrío’ y mutilar un derecho fundamental